Выбор хороших паролей - одно из простейших мероприятий по обеспечению качественной сетевой безопасности. Пароли требуются для входа в системы, работа с которыми разрешается только после аутентификации пароля.
Народные мифы гласят, что все нарушения в сетевой безопасности происходят по вине невероятно умных хакеров, находящих уязвимости в программном обеспечении. В действительности некоторые из наиболее известных нарушителей обрели доступ к системам простым угадыванием или кражей паролей либо эксплуатацией хорошо известных уязвимостей устаревшего программного обеспечения. Позже в этой главе приводятся указания по процессу обновления ПО, а также перечисляются способы предотвратить кражу паролей. Но сначала посмотрим, что можно сделать, чтобы предотвратить угадывание паролей.
Угадывание паролей облегчается рядом обстоятельств:
- Пароль совпадает с названием учетной записи. Учетные записи с такими тривиальными паролями называются тупыми (joe accounts).
- Существуют гостевые и демонстрационные учетные записи, не требующие пароля либо требующие опубликованного и широко известного пароля.
- Существуют системные учетные записи с паролями по умолчанию.
- Пользователи сообщают свой пароль другим пользователям или посторонним лицам. Отгадывание подобных паролей не требует вообще никакого умения, только много свободного времени! Частая смена пароля является хорошей контрмерой. Однако, выбирая хорошие пароли, не торопитесь менять их настолько часто, чтобы стало трудно запоминать. Многие специалисты по безопасности рекомендуют менять пароль раз в 3-6 месяцев.
Более сложным вариантом угадывания паролей является угадывание по словарю. При этом используется программа, которая шифрует каждое слово из словаря (скажем, /usr/diet/words) и сравнивает результат с зашифрованным паролем, хранящемся в файле /etc/passwd. Угадывание по словарю не ограничивается словарными статьями. Доступные сведения о пользователе (имя, инициалы, номер телефона и т. д.) также служат исходными данными для программы угадывания. Угадывание по словарю делает очевидной необходимость защиты файла /etc/passwd.
В некоторых системах для сокрытия шифрованных паролей от потенциальных злоумышленников применяется файл теневых паролей. Если ваша система предоставляет возможность работы с теневыми паролями, воспользуйтесь этой возможностью. Сокрытие шифрованных паролей значительно сокращает риск успешного угадывания.